Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres ● Firewally
Filtrace ● Kontrola procházejících paketů aktivním prvkem sítě ● Nemění obsah paketu, jen je propouští nebo zahazuje ● Filtrace na linkové vrstvě (switch), transportní vrstvě (router) nebo na aplikační vrstvě ● Linkový filtr musí znát linkové záhlaví, IP-filtr záhlaví IP datagramu, TCP záhlaví TCP segmentu ● Aplikační filtr musí znát celý protokol (nejednoznačnost ve struktuře protokolu)
Linkový filtr ● Obrana proti útoku zevnitř, chrání obsah rámců přenášených LAN ● Testuje se, zda za rozhraním switche je pouze zařízení se známou MAC adresou – nelze připojit neznámý hardware ● Polopropustná membrána – otevřeno ven
IP filtr ● Filtr vložený mezi chráněnou síť a Internet ● Předává datagramy pouze podle jejich záhlaví, někdy je nutné pracovat i s TCP segmentem a jeho záhlavím ● Specifikuje a) kdo nesmí, b) kdo smí ● Standardní filtr – pouze adresa odesilatele ● Rozšířený filtr – adresa odesílatele i příjemce, ev. TCP záhlaví. Leží na nejzazší hranici. Riziko – nevíme, kdo je mezi sítěmi (man-in-the-middle)
IP filtr ● Útoky: MITM, address-spoofing ● Address spoofing=podvržení adresy zevnitř sítě datům zvenčí. Obrana – náhodné číslo generované routerem uvnitř sítě (lze odhadnout), používání IP adres v konfiguračních souborech
TCP filtr ● Omezení komunikace na konkrétní aplikace (porty) ● TCP segment je rozfragmentován na datagramy. Router čeká na fragment se záhlavím, ostatní propustí. Po uplynutí určité doby příjemce o nesestaveném segmentu informuje odesilatele (riziko – blokovat). ● Filtr zadrží datagramy do momentu, kdy je má všechny pohromadě a propustí je naráz
Reflexivní filtry ● Datové přenosy jsou vždy obousměrné relace – jak oddělit komunikaci ven a dovnitř? ● Filtr propouští dovnitř jen ty datagramy, které náležejí relaci otevřené směrem ven ● Filtrace na vnějším nebo vnitřním rozhraní routeru (s filtrem na vnějším rozhraní nefunguje demil. Zóna) ● Lze nasadit i na filtrování bezestavových protokolů
Filtrace aplikačních protokolů ● Telnet, SSH – na dedikovaných portech ● FTP – pouze pasivní, a to filtrem pro příkazový a datový kanál zvlášť ● Http – problém vysokých portů ● SSL/TLS – totéž ● SMTP – nelze provozovat mimo DMZ ● POP3/IMAP – na portu ● LDAP – transparentní proxy (chybí inherentní podpora v protokolu LDAP)
Proxy ● Klient-server ● Dvě síťová rozhraní, na vnitřním server, na vnějším klienty ● Rozšíření – filtrace (především obsahu, proxy vidí do aplikační vrstvy) a cache (pro urychlení opakovaných požadavků) ● Klasická (pracuje formou dialogu s klienty) ● Generická (neumí-li klient sdělit adresu serveru – koncentruje požadavky na různý provoz)
Proxy ● Transparentní (svého druhu router – ovšem pakety na vstupu považuje za své, vůči klientu emuluje server) ● SOCKS – společná metaproxy pro veškerý provoz, na základě požadavku zřizuje konkrétní proxy ● WINSOCKS – API pro všechny druhy komunikace v rámci Windows, uvnitř sítě se nepoužívá (tabulka LAT)
NAT ● Překlad adres ● Principem je skrytí vnitřní sítě před vnějškem bez nutnosti proxy – přímý překlad vnější adresy na vnitřní a naopak ● Jednoduchý NAT – 1:1 ● Rozšířený NAT – N:1 ● Dvojitý NAT – pokud máme uvnitř veřejné adresy, je třeba dvojí překlad (M:N) ● Je třeba rozkládat zátěž – obvykle užívané jméno serveru je rotující virtuální obálka